2次パスワードの実装など

[GGC_XIV]

　余り時間も無いから手短に。

トークン導入済みにも関わらずハックにあった人を知っています。
もう一段、何か欲しいところです。指定したドメイン、IPアドレスの範囲からしかログインできないようにするとか。

そもそもFF外での知り合いに、「お前がFFでアカウントハックされた話を持ち出したいから、お前ちょっとフォーラムに書き込んでくれよ」と言って関係を悪化させるのも嫌なので、僕が彼に聞いた話だけで勘弁して下さい……。
なんかもう一連の書き込み消した方がいいんですかね。そういう事例もあるからもう一段階あるとありがたいと思って引き合いに出したら、なんか不愉快にさせたようですし僕も不愉快ですし。

　Ltz氏コメの前に、こっちで色々書き込んだせいで煽り喰らわせた形になった事はホント御免、悪かった。_(_　_)_

　自分のコメントに責を感じる事はない、知り合いが被害にあったのが事実なら煽りでも何でも無いし、むしろもっともらしく責める方が不愉快。
　確かにCE版買えと言われりゃソレまで、なら通常版にトークン同封で、既にトークン持ってる人はDL版購入にしてもいいんじゃ？現実に問題あるならメ－カーは改善を図るべきだろう？

・スクエニには連絡済みで、本人確認を経てアカウント復活した（ただしハック期間分のプレイ期間への補填なし）

　これだけで問題だ、アカハックに気が付いたユーザーが２次パス等で自主的に被害を抑えたり回避する為の手段は必要だと思うけど？

[MisatoMisa]

その上でフィッシングにかかったとしても大丈夫なように、

うーん（汗）

かかった場合のケアまでは誰も面倒見ないと思います。



カスペルスキーなどの月額料金で、
セキュリティを強固なモノにするしかないと思います。

※フィッシングサイトだったり、
いつもと違うサイトの場合ブロックする機能があるものが、無料セキュリティにはほとんど無いため。


IPアドレスとなると、
プロバイダーで固定サービスを受けるくらい？
スクエニ側ではIPアドレス違うと再確認するシステムがあるようですが、登録アドレス盗用されてたら意味がありませんし。

※ちなみに他社オンラインゲームでは、端末指定でガードするサービスがあります。
設定すると、他端末ではログイン出来ないほどです。

[Ltz]

うーん（汗）
IPアドレスとなると、
プロバイダーで固定サービスを受けるくらい？
スクエニ側ではIPアドレス違うと再確認するシステムがあるようですが、登録アドレス盗用されてたら意味がありませんし。

単純にIPアドレスの指定でもいいですが、IPアドレスを範囲指定するたとか、アドレスから逆引きしたドメイン名に指定した文字列が含まれているとか（あるいは可能であればISP名を判別するとか）……やりようはあるかなぁ、と。別にIPでなくてもMACアドレス使う手もありますし。
　機器登録もいいですね。とにかく、何かもう一段階あればなぁと思っている次第です。

p.s.GGC_XIVさん、ありがとうございます。

[Ranmaru]

フィッシングが一番可能性高いんだろうなーとは思ってるますし、仮にそうだとしたら彼の落ち度だと思います。
その上でフィッシングにかかったとしても大丈夫なように、ログイン可能なIPを範囲指定して絞るなり、サービス提供側から別のワンタイムパスがメールで送られてくるなり、何かもう一段階あればいいなぁと思ってるのです。

メールでパスワードを送るのは結構危険なので、頻繁にやりとりするのであれば
避けたほうが賢明ですね
２次パスワードというのがあっても、パスワードが長くなったのと大差がないので
現行のパスワードを２倍の文字列にすれば同じ効果が得られます

最終的にはIDとパスワードを管理する側の問題だと言える部分が多々あるので
管理側できをつかうのが一番の近道です
管理がだらしないとどんな安全策をとっても無駄になりますので

[FrayL]

どうも私と他の方で、考え方というか、視点というか。そのあたりが違う感じがしますね。
「個人がしっかりしていればアカウントハックは起こらないはずだ」「アカウントハックは起こるものだからもっとセキュリティを強化すべき」
前者は正論ですし、後者も正論だと思うのですが費用がかかる。つまりその分のしわ寄せが我々自身に来る。
どっちがいいとは一概に言えないですね。

ただ、アカウントハックの被害にあった人に対し「努力が足りなかった」で済ませてしまう風潮はあまり好ましいものとは思えません。
RMT業者も知恵を絞ってアカウントハックを試みているのですし、個人の問題に帰結させてしまうのは少々厳しすぎる態度かと。

[yHayashi]

通常、ID、パスワード、ワンタイムパスワードを使う形であれば、大抵の場合は問題は起こらないはずであるという意味で大手銀行でも採用されているんだと思います。

使っているにも関わらず、アカウントハックに及んでしまう場合は、フェイクの情報をフェイクと思わずに信じて情報を入力してしまうという事に問題がある訳で、個人として注意が足りなかったという事になってしまうのではないかと思います。

こういった場合、仮に第二第三のパスワード設定とかしても、やはり入力してしまうんじゃないかと思えますし、これらを実際に実装してセキュリティを行ったとしてもコストがかかる上にユーザー側の複数のパスワードをしっかり覚えるという意味もふくめて負担が増えてしまう様に思います。

結局の所、現状のシステムのままで個人での情報の管理の徹底と、怪しい、おかしいと思ったら無視してサポートに確認を取るといった対処をするのがベストではないでしょうか？

[Pantera]

>>Ltzさん
私もその日記見たと思います。
衝撃的だったので覚えてます。

[GGC_XIV]

「個人がしっかりしていればアカウントハックは起こらないはずだ」「アカウントハックは起こるものだからもっとセキュリティを強化すべき」
どっちがいいとは一概に言えないですね。

ただ、アカウントハックの被害にあった人に対し「努力が足りなかった」で済ませてしまう風潮はあまり好ましいものとは思えません。
RMT業者も知恵を絞ってアカウントハックを試みているのですし、個人の問題に帰結させてしまうのは少々厳しすぎる態度かと。

　その考えを支持、大体何処の掲示板でもこの手の被害者は『ワンタイムいれろよ』『引退オメ』『トークン位買え』と罵声を受ける。（落ち度があるなら自業自得だが。）
　トークン無し＝被害は当然とする傾向に加え、スクエニも規約上はこう定めてるし（以下引用）
　↓
　スクウェア・エニックス アカウント規約　第4章　お客様の責任
　
　第13条　アカウント情報等の管理責任
　
　1. お客様は、自己のID等を含むアカウント情報を他者に使用させず、他者と共有しないとともに、自己の過失の有無を問わず、それらの使用（自己が行なったか否かに関わらず）及び管理について一切の責任を負うものとします。当社はお客様のID等のアカウント情報の他者による不正使用等に対しお客様に一切責任を負いません。

　としているので、サポートやトークンを１００％アテには出来ない。
　アカハックの可能性が常にありセキュリティの強化がムリなら、後は自己防衛しか無く出来る事は小まめにパスワード変更か、トークン買ってアカハック確立を下げる程度じゃねぇ・・・アカハック被害者に出来る有効な”方法”の設置位、有料サービスならあってもいいんじゃないんかい？

[Arms]

興味があるのでコメント見ていましたが、スレ主さんの当初の話から脱線してそうな気がするので話を戻させてもらいます。

現在ワンタイムパスワードのハードウェアトークンが在庫切れ、次回入荷が不明と聞きます。
ソフトウェアトークンも一部端末では利用不可能とのこと。
不正アクセスが多い最近、
これじゃどうしようも無くなっている人もいると思います。

スレ主さんは、ワンタイムパスワードが使えない間の「代替手段」を求めている認識です。
確かにプレイヤー個人が対策しようとしても、販売が滞っている状況が続くのはリスクだと思います。

ただ、

2次パスワード機能などのワンタイム導入出来るまでの代替セキュリティを作るべきでは？
※ワンタイム設定すればいらなくなるようなヤツ。

現状のワンタイムパスの仕組み自体は、スクエア・エニックス社の認証機能であり、FF14固有の機能ではありません。
そのため、新しい仕組みを導入するのであれば、DQ10はじめ、その他のゲームでも影響受けますし、
それこそ費用、時間がかなりかかるので、結局は物理的なセキュリティトークンの増産を急ぐ方が早いです。

ワンタイムパスワードの信頼性に言及されている方がいますが、それはスクエニだけではなく
同方式を採用している各社(世界規模で)に問題のある事になりますので、おそらくワンタイムパスの問題ではなく、
他の皆さんがコメントしているように、キーロガーやフィッシングサイト経由での問題かと思われます。

仕事柄(IT)、セキュリティ対策は行っている方なのもあり、いまだかつでパスワードが漏れた事がないのですが、
やはり一般の方は「問題が発生してから対策する」という心構えのほうが問題なんじゃないかな…
荒れそうなので、この先は控えさせていただきます

[horizon]

横断歩道を左右確認せず走って渡ろうとして車に轢かれる。

悪いのは車です。でも痛いのはあなたです。そんな話ですね。